Sql инъекция и межсайтовый скриптинг в Hummingbird CyberDOCS DOCSFusion Server

Описание: Несколько уязвимостей обнаружено в CyberDOCS. Злонамеренный пользователь может выполнить SQL инъекцию и XSS нападения.

1. Уязвимость в проверке правильности входных данных обнаружена в сценарии входа в систему "loginact.asp". В результате удаленный пользователь может манипулировать существующим Sql запросом, чтобы внедрить произвольный Sql код, который будет выполнен на основной базе данных.
2. Несколько Web страниц не проверяют возвращенные данные, представленные пользователем. В результате удаленный пользователь может эксплуатировать XSS нападение против пользователей CyberDOCS.
3. Страница ошибки, сгенерированная при неудачной попытке входа в систему, раскрывает абсолютный путь к Web root каталогу.
4. Небезопасные разрешения по умолчанию установлены на нескольких CyberDOCS сценариях (".inc"). В результате удаленный пользователь может раскрыть чувствительную информацию, содержащуюся в этих сценариях.

URL производителя:http://www.hummingbird.com/

Решение:Установите соответствующее обновление: ftp://ftptlh.hummingbird.com/patches/cyberdocs/cyd40p4.exe